linux數(shù)據(jù)刪除與恢復(fù)那些事兒系統(tǒng)文件

rm刪除掉的文件不像我們熟悉的windows躺在回收站解。掌握其基本原理后，再借助工具完成數(shù)據(jù)恢復(fù)就不那么了。Windows系統(tǒng)操作電腦的方式，使用鼠標(biāo)配合圖形界面完成操作。不時(shí)保留了使用命令操系統(tǒng)的特性。因此，要想徹底掌握Linux系統(tǒng)的操作，必須要熟練使用常用的系統(tǒng)命令。像創(chuàng)建文件的touch命令，文件的cp命令，查看 的ls命令以及查看文件內(nèi)容的cat命令，既能挪動(dòng)文件位置又能修改文件名的mv命令，以及刪除文件的rm命令等都是Linux必須熟練掌握的系統(tǒng)操作命令。命令的學(xué)習(xí)是Linux系統(tǒng)的重中之重。許多系統(tǒng)級(jí)的操作借助命令變得簡單有效。許多Linux系統(tǒng)下十分好用的工具也借助命令來完成而并不提供圖形終端。統(tǒng)工程師在業(yè)余時(shí)間也向系統(tǒng)中添加了許多有意思的新奇玩意。為了加大Linux系統(tǒng)的命令。當(dāng)然，首次使用的話需要進(jìn)行安裝?？稍谠O(shè)置好軟件源并完成update以后，通過apt-getinstallsl的方法進(jìn)行安裝。當(dāng)你鍵入一個(gè)大寫的LS的時(shí)候也可以喚出它。日歷時(shí)這個(gè)月非常有意思（92日后居然跳到了14日了，這是有原因的：年的月的下一天定為格列歷月日，中間跳過了10天，在意大利、西班牙等國92914日。但是在windows下，由于電腦的日期無法調(diào)回到那個(gè)時(shí)候（1980再往前就是2099年了Linux才能了解到了。“aptitude–vmoo”“aptitude–vvmoo”“aptitude–vvvmoo”“aptitude–vvvvmoo”“aptitude–vvvvvvmoooneko”當(dāng)然，Linux系統(tǒng)中有意思令還遠(yuǎn)遠(yuǎn)不止這些。感的同學(xué)可以在學(xué)習(xí)的過程中令刪除的數(shù)據(jù)并不像windows系統(tǒng)一樣跑到回收站里。rmrm刪除欲想恢復(fù)rm刪除的數(shù)據(jù)，就必須要了解下Linux系統(tǒng)中文件的方法。知道了文件是如何的，我們也就了解了文件刪除的本質(zhì)，從而能達(dá)到恢復(fù)數(shù)據(jù)的目的。Linux文 inode會(huì)被緩存到內(nèi)存中。inode譯成中文就是索引節(jié)點(diǎn)，每個(gè)設(shè)備（例如硬盤）或設(shè)備的分區(qū)被格式化為文件系統(tǒng)后，應(yīng)該有兩部份，一部份是inode，另一部份是block。block是用來數(shù)據(jù)inodeinode的數(shù)值。linux操作系統(tǒng)下可以使用ls–id命令來查看文件或者的inode值，一般“root”的inode2，一個(gè)分區(qū)掛載到一個(gè)下時(shí)，這個(gè)“root”的inode值為2。本次課程主要介紹令是通過文件系統(tǒng)的inode值（一般是2）來獲取文件系統(tǒng)信部分。inode文件描述信息以及文件數(shù)據(jù)存放的具置。當(dāng)刪除一個(gè)文件時(shí)inode相ext3ext4metadatametadata在日志文件會(huì)有一份拷貝。比如一個(gè)文件被刪除了，它的inode信息會(huì)在日志文件中先保Linux系統(tǒng)中有許多工具能幫助我們完成誤刪數(shù)據(jù)的恢復(fù)工作。較常見的工具有Linux系統(tǒng)中比較常見令行恢復(fù)工具有foremost和extundelete等。這兩款工具是較有代表性的兩個(gè)恢復(fù)工具，另外scalpel也是一種簡單有效令行工。我們著重介紹他foremost是一個(gè)基于文件頭和尾部信息以及文件的內(nèi)建數(shù)據(jù)結(jié)構(gòu)恢復(fù)文件令行工carvubg過命令行開關(guān)使用formost內(nèi)建的文件類型。formost最初是由特別室（AirOfficeofSpecialInvestigations）和信息系統(tǒng)安全（TheCenterforInformationSystemsSecurityStudiesandResearch）開發(fā)的，現(xiàn)在使用GPLForemost支持恢復(fù)如下格式：avi,bmp,dllexe,gifhtmjarjpgmbd,movmpgpdfpng,ppt,rar,rif,sdw,sx,sxc,sxi,sxw,vis,wav,wmv,xls,zip。針對(duì)Linux下的ext文件系統(tǒng)來說，常用的Linux文件刪除恢復(fù)工具有debugfs、ext3grep、extundelete等。extundeleteext3、ext4文件系統(tǒng)，其站點(diǎn)位于，目前穩(wěn)定版本為0.2.0。foremostextundelete二者相比，foremost支持的文件系統(tǒng)比較多（ext2ext3、vfat、NTFS、ufs、jfs等）extundelete支持的文件系統(tǒng)較少（ext3、ext4）文件系統(tǒng)。不過foremost只能支持恢復(fù)特定格式的文件。#apt-getinstall#rm-f#foremost-tpng-i-V-V- ycopyrightinformationand -t-specifyfiletype.(-tjpeg,pdf-d-turnonindirectblockdetection(forUNIXfile--i-specifyinputfile(defaultis-a-Writeallheaders,performnoerrordetection(corrupted-w-Onlywritetheauditfile,donotwriteanydetectedfilestothe-o-setoutputdirectory(defaultsto-c-setconfigurationfiletouse(defaultsto-q-enablesquickmode.Searchareperformedon512byte-Q-enablesquietmode.Suppressoutput-v-verbosemode.Logsallmessagesto 下創(chuàng)建一個(gè)output ，在output 下會(huì)包括所有可恢復(fù)的png格式文件。 audit.txt 下生成一個(gè)audit.txt文件，保存恢復(fù)文#mkdir–p#mkfs.ext4##mkdir–p#mkfs.ext4#mount/dev/sdb1/backupdate#cd/backupdate/deldate#touch#echo"test1">#rm-rf#umount#extundelete/dev/sdd1--inodeFile|Inodenumber|DeletedDirectoryblock.22Deleted#extundelete/dev/sdb1--restore-file 下的 在現(xiàn)實(shí)使用過程中發(fā)現(xiàn)extundelete還是有很大的不完整性,基于整個(gè)磁盤的恢復(fù)功能較為強(qiáng)大,基于和文件的恢復(fù)還不夠強(qiáng)大。extundeleteext3ext4的文件系統(tǒng)，如果用戶使用的那些沒有日志scalpel([?sk?lp?l])工具。scalpel是一種快速文件恢復(fù)工具，它通過文件系統(tǒng)的數(shù)據(jù)庫來恢復(fù)文件。并且scalpel是獨(dú)立于文件系統(tǒng)的數(shù)當(dāng)然，用戶也可以在/Scalpel/源代碼編譯pdf文件，那么要在/etc/scalpel/scalpel.confpdf文###pdfypdf##%PDF%EOF\x0d%PDF%EOF\x0a##AOL(AMERICAONLINE)“/home//recover/”是恢復(fù)文件。該下會(huì)自動(dòng)創(chuàng)建audit.txt文件，testdisk是分區(qū)表恢復(fù)、raid恢復(fù)、分區(qū)恢復(fù)的開源免費(fèi)工具。它可以解決一些因?yàn)榉謩?dòng)，整理分區(qū)表，恢復(fù)主引導(dǎo)記錄，恢復(fù)引導(dǎo)扇區(qū)以及文件系統(tǒng)表，testdisk支持如下文件testdisk支持的功能:修復(fù)分區(qū)表,FAT32備份表恢復(fù)啟動(dòng)扇區(qū)，mftmftext2/ext3superblockFAT，NTFS及ext2文件系統(tǒng)恢復(fù)刪除文件，從已刪除的FAT，NTFS及ext2/ext3分區(qū)文件。 碼編譯安裝。但需要注意 安裝testdisk之前要安裝幾個(gè)輔助軟件包libncursesw5，libuuid1，zlib1g啟動(dòng)testdisk啟動(dòng)后的工作界面首先要指定恢復(fù)操作過程中欲創(chuàng)建的的log文件log文件的記錄方式后，testdisk會(huì)顯示處于連接狀態(tài)的分區(qū)設(shè)備。選擇要恢復(fù) /PCpartition即可。如果是GPT分區(qū)，應(yīng)選擇[EFIGPT]。對(duì)于ext4文件系統(tǒng)來說應(yīng)選擇[None]Nonpartitionedmedia。但，通常選擇[In ]In /PCpartition也可以正確識(shí)別， yse，以[DeepSearch]進(jìn)行一次深入檢測(cè)。下圖，紅色文件名稱即為已被刪除的文件，選擇你要恢復(fù)的文件后，按“c 可在設(shè)定的恢復(fù)文件下查看到恢復(fù)回來的文件機(jī)卡中恢復(fù)丟失的數(shù)據(jù)恢復(fù)軟件（軟件命名為photorecovery的縮寫)。photorec式化后，它也能進(jìn)行數(shù)據(jù)恢復(fù)。出于安全考慮,photorec以只讀方式來您要恢復(fù)數(shù)據(jù)所提示：一旦發(fā)現(xiàn)丟失或意外刪除了某個(gè)、文件，請(qǐng)不要繼續(xù)往該設(shè)備或磁盤photorectestdiskphotorec啟動(dòng)啟動(dòng)成功會(huì)顯示當(dāng)前已連接磁盤分區(qū)，選擇準(zhǔn)備恢復(fù)的文件所在分區(qū)，然后選擇[Proceed